Atzinums

Pārskatot noteikumu projektu un novērtējot mākoņpakalpojumu sniedzēju Eiropas Savienībā atbilstību tajā noteiktajām prasībām, identificētas vairākas neskaidrības. Lai nodrošinātu, ka minētās platformas var tikt izmantotas atbilstoši drošības prasībām, vienlaikus precizējot prasību piemērošanu sniedzam priekšlikumus grozījumiem un papildinājumiem atbilstošajās sadaļās.

-

Ierosinātās izmaiņas fokusējas uz to, lai atzītu mākoņpakalpojumu sertifikācijas un procesus kā līdzvērtīgus drošības garantijas mehānismus, papildinātu prasību tekstu ar nepieciešamajiem komentāriem un tādējādi mazinātu riskus, kur mākoņpakalpojumu sniedzēji tieši nevar nosegt esošajā redakcijā. Rezultātā būtisko un svarīgo pakalpojumu sniedzēji varētu drošāk un skaidrāk izmantot mākoņpakalpojumu pakalpojumus, nepārkāpjot normatīvo aktu prasības, jo tiktu precizēts atbilstības apliecināšanas mehānisms (izmantojot starptautiskus sertifikātus un auditus) un noteikti pasākumi riska mazināšanai tajos aspektos, kur pilna kontrole atrodas pakalpojumu sniedzēja pusē.
 

-

Papildināt ar jauniem 2.2., 2.3. un 4.2.punktiem sekojošās redakcijās:
“2.2. subjektiem, kuri izvieto savā īpašumā vai valdījumā esošās informācijas sistēmas cita subjekta īpašumā vai valdījumā esošā vienas uzņēmumu grupas (koncerna) vai resora ietvaros koplietotā IKT infrastruktūrā;”
“2.3. subjektiem, kas savā īpašumā vai valdījumā esošā vienas uzņēmumu grupas (koncerna) vai resora ietvaros koplietotā IKT infrastruktūrā uztur citu šīs uzņēmumu grupas (koncerna) vai viena resora subjektu īpašumā vai valdījumā esošās informācijas sistēmas;”
“4.2. vienas uzņēmumu grupas (koncerna) vai resora ietvaros koplietotā IKT infrastruktūrā, ievērojot šo noteikumu II nodaļā minētās prasības;”.
Skaidrojums: Šie papildinājumi nepieciešami, jo noteikumu projekta esošā redakcija  neļauj informācijas sistēmas izvietot vienas uzņēmumu grupas (koncerna) vai resora ietvaros koplietotā IKT infrastruktūrā.

-

Ņemot vērā, ka globālam mākoņpakalpojumu sniedzējam datu centru operators formāli ir ārvalstu uzņēmums, kas Latvijā var nebūt reģistrēts kā atsevišķa juridiska persona, pastāv neskaidrība, vai uz to tieši attiecas noteikumos definētā “datu centra operatora” atbildība. Ieteikums ir iekļaut skaidrojumu (piemēram, pārejas noteikumos vai skaidrojošā daļā), ka gadījumos, kad subjekts izmanto ārvalstu mākoņpakalpojumu, pats subjekts uzskatāms par atbildīgo par šo noteikumu prasību izpildi attiecībā uz pakalpojuma izmantošanu.

Skaidrojums: Šis precizējums novērš risku, ka prasības “karājas gaisā” neattiecoties ne uz vienu – t.i., ka ārvalstu pakalpojumu sniedzēju nevar tieši juridiski piespiest reģistrēties Drošo datu centru reģistrā. Tādējādi subjekts kļūst par līgumiski atbildīgo pusi, kas nodrošina, ka pakalpojumu sniedzējs atbilst prasībām (izmantojot augstāk minētās sertifikācijas un līguma nosacījumus).

-

Lūdzam precizēt, ka domātas datu centru telpas, jo atsevišķos gadījumos IKT aparatūra (piemēram, komunikāciju aparatūra, kameras, raidītāji u.c.) var tikt izvietota ārpus datu centriem.

-

Par 22.3. un 23. punktu (žurnālu glabāšana un incidentu pārskati):
Datu centru operatoram noteikta prasība glabāt uzraudzības datus vismaz 12 mēnešus un nodrošināt klientiem pieeju incidentu žurnāliem. Priekšlikums: subjektiem, kas izmanto šos pakalpojumus, jāparedz līgumā un jāievieš risinājumi ilgtermiņa žurnālu saglabāšanai (piemēram, arhivēt svarīgos žurnālus lokāli vai citā drošā repozitorijā, lai nodrošinātu 12 mēnešu periodu).

Skaidrojums: Šādi rīkojoties, tiks izpildītas 22.3. punkta prasības par datu glabāšanu audita vajadzībām, neskatoties uz pakalpojumu sniedzēja noklusējuma iestatījumiem. Tāpat 23. punkta prasība par piekļuvi incidentu žurnāliem tiek nodrošināta ar pakalpojumu sniedzēja standarta rīkiem – mākoņpakalpojumu sniedzējs nodrošina klientiem pārskatus par drošības incidentiem un paziņojumus, kas klientam ir jāizmanto, lai informētu atbildīgās iestādes, ja nepieciešams.

-

27.punkts. Joprojām uzskatām, ka nepieciešams vēl detalizētāk precizēt kādi telemetrijas dati jānodrošina reāllaikā.

28.punkts. Punkta prasību reģistrēt dīkstāves sistēmā VIRSIS attiecināt tikai uz valsts datu centru operatoriem.

Skaidrojums: Papildinājums nepieciešams, jo VIRSIS nav pieejama privātpersonām.

-

Ppapildināt beigu daļu, paredzot izņēmumu gadījumiem, kad tiek izmantoti starptautiski sertificēti mākoņpakalpojumu sniedzēji. Piemēram: "..., izņemot gadījumu, ja mākoņpakalpojumu sniedzējs ir apliecinājis atbilstību datu centru drošības prasībām ar starptautiski atzītiem sertifikātiem (sk. 3. pielikumu) un ievēro 30.1. un 30.3. apakšpunktā noteiktos nosacījumus. Šādā gadījumā atļauju no valsts drošības iestādes var neprasīt."
Skaidrojums: Šis grozījums ļauj izmantot mākoņpakalpojumus bez individuālas atļaujas, ja tie atbilst drošības sertifikācijām un dati glabājas NATO/EU/IP4 valstīs ar šifrēšanu. Tas novērš nepieciešamību pēc speciālas atļaujas katram mākoņpakalpojuma izmantojumam, saglabājot drošības kontroli.

-

Jauns 32.1. apakšpunkts (papildinājums pie esošā 32. punkta): precizēt, ka subjekts, novērtējot mākoņpakalpojumu atbilstību Latvijas drošības prasībām (kā to prasa 32. punkts), var izmantot pakalpojumu sniedzēja starptautisko auditu rezultātus un sertifikātus. Piemēram: "32.1. papildus – izvērtējumā var tikt izmantoti mākoņpakalpojumu sniedzēja neatkarīgu auditu ziņojumi un sertifikāti (piemēram, ISO/IEC 27001 un SOC 2 atskaites), kas apliecina pakalpojuma atbilstību informācijas drošības un datu aizsardzības prasībām.
Skaidrojums: Šis papildinājums norāda, ka mākoņpakalpojumi ir sertificēti atbilstoši starptautiskiem standartiem, un subjekti var izmantot šos sertifikātus kā pierādījumu atbilstības izvērtēšanai. Tas samazina risku, ka subjektam pašam jāpārbauda mākoņpakalpojuma sniedzēja infrastruktūra, ko nodrošina pakalpojumu sniedzējs.
 

-

Precizējumi par drošības incidentu uzraudzību un operacionālajiem aspektiem
36. punkts (36.1. un 36.2. apakšpunkts): ņemot vērā, ka subjekti, kas izmanto publiskos mākoņpakalpojumus, praksē paši nevar tieši kontrolēt mākoņpakalpojumu sniedzēja iekšējās drošības sistēmas, ierosināts papildināt paskaidrojumu par šo prasību izpildi mākoņvidē. Piemēram, pie 36.2. apakšpunkta pievienot teikumu: "Subjekts, kas izmanto mākoņpakalpojumu, nodrošina drošības telemetrijas datu pieejamību, izmantojot pakalpojumu sniedzēja piedāvātos rīkus (piemēram, žurnālu straumēšanas risinājumus vai API), lai minēto informāciju nodotu Nacionālajam kiberdrošības centram noteiktajā termiņā."
Skaidrojums: Lietojot mākoņpakalpojumus, fiziska piekļuve datu centriem nav iespējama. Subjektiem jāizmanto nodrošinātie drošības žurnāli (piemēram, audita žurnāls, monitoringa rīki). Tas samazina risku, ka 36.1. un 36.2. punktā minētā prasība par 1 minūtes laikā pieejamiem drošības datiem netiks izpildīta. Subjekti iepriekš sagatavo līgumus vai tehniskus risinājumus informācijas saņemšanai un nodošanai.

-

Ieteicams precizēt, ka gadījumā, ja datu centra operators ir ārvalstu mākoņpakalpojumu sniedzējs, tas drošības incidentu informāciju nodod klientam saskaņā ar līguma noteikumiem un publiski saistībām (piemēram, caur drošības centru portāliem un paziņojumiem par incidentiem).

Skaidrojums: Šis ir skaidrojošs precizējums – mākoņpakalpojumu sniedzējs, par būtiskiem drošības incidentiem informē klientus centralizēti, bet nepiedalās tieši katras valsts kompetento iestāžu uzraudzībā. Tāpēc subjektiem jānodrošina, ka tie šādu informāciju saņem un tālāk nodod Nacionālajam kiberdrošības centram.

-

Aicinām izvērtēt un potenciāli apvienot punktus 4.2 un 4.5, jo abi nosaka darbības ilgumu serveru telpas un serveru telpas tehnoloģisko mezglu elektroapgādei elektroapgādes traucējumu gadījumā:
4.2. elektroapgādes pārtraukuma gadījumā, nepārtrauktās elektropiegādes iekārta (UPS), nodrošina vismaz 10 minūšu autonomu darbību visām serveru telpā izvietotajām IKT iekārtām un serveru telpas tehnoloģiskajiem mezgliem (piemēram, dzesēšanas iekārtām)
4.5. rezerves elektrobarošanas risinājums nodrošina vismaz 12 stundu autonomu serveru telpas  un serveru telpas tehnoloģisko mezglu (dzesētāji u.c.) elektroapgādi.
 

-

2.2.3. augstas drošības zonai nodrošināta vismaz trīsfaktoru autentifikācija (piemēram, radiofrekvences identifikācijas (RFID) karte, personiskais identifikācijas numurs (PIN kods) un biometriskie dati).
Lūdzam precizēt drošības zonu (tostarp augstas drošības zonas) noteikšanas kritērijus, lai nodrošinātu normas viennozīmīgu un nepārprotamu piemērošanu dažādos objektos.

-

22.3. pārvaldības un uzraudzības rīku uzkrātie dati tiek glabāti vismaz 12 mēnešus un ir pieejami audita vajadzībām un līgumiskajām saistībām par datu centra pieejamību.
Aicinām samazināt glabāšanas periodu, ņemot vērā milzīgo video failu apjomu.

Par 22.3. un 23. punktu (žurnālu glabāšana un incidentu pārskati): Datu centru operatoram noteikta prasība glabāt uzraudzības datus vismaz 12 mēnešus un nodrošināt klientiem pieeju incidentu žurnāliem. Priekšlikums: subjektiem, kas izmanto šos pakalpojumus, jāparedz līgumā un jāievieš risinājumi ilgtermiņa žurnālu saglabāšanai (piemēram, arhivēt svarīgos žurnālus lokāli vai citā drošā repozitorijā, lai nodrošinātu 12 mēnešu periodu).
Skaidrojums: Šādi rīkojoties, tiks izpildītas 22.3. punkta prasības par datu glabāšanu audita vajadzībām, neskatoties uz pakalpojumu sniedzēja noklusējuma iestatījumiem. Tāpat 23. punkta prasība par piekļuvi incidentu žurnāliem tiek nodrošināta ar pakalpojumu sniedzēja standarta rīkiem – mākoņpakalpojumu sniedzējs nodrošina klientiem pārskatus par drošības incidentiem un paziņojumus, kas klientam ir jāizmanto, lai informētu atbildīgās iestādes, ja nepieciešams.

-

4.2.punkts. elektroapgādes pārtraukuma gadījumā, nepārtrauktās elektropiegādes iekārta (UPS), nodrošina vismaz 10 minūšu autonomu darbību visām serveru telpā izvietotajām IKT iekārtām un serveru telpas tehnoloģiskajiem mezgliem (piemēram, dzesēšanas iekārtām).
UPS iekārtas Datu Centros lielākoties nenodrošina dzesēšanas sistēmas autonomiju, to nodrošina dīzeļģeneratori. Dzesēšanas iekārtu UPS barošana prasa radikāli citas jaudas UPS iekārtas.

Lūdzam nodrošināt skaidrojumu terminam serveru telpas tehnoloģiskais mezgls un IKT iekārta
4.2 punktu iesakām izteikt šādā redakcijā:
4.2. elektroapgādes pārtraukuma gadījumā, nepārtrauktās elektropiegādes iekārtas, kas nodrošina vismaz 10 minūšu autonomu darbību visām serveru telpā izvietotajām IKT iekārtām un serveru telpas tehnoloģiskajiem mezgliem (piemēram, dzesēšanas iekārtām).

-

Piedāvāts 3. pielikumu paplašināt, iekļaujot tajā datu centros izmantotās drošības un atbilstības sertifikācijas, lai skaidri norādītu to atzīšanu. Papildināt 3. pielikumu ar jaunu punktu (piemēram, punktu 6), šādā redakcijā:
6. Starptautiski atzīti mākoņpakalpojumu drošības sertifikāti:
6.1. ISO/IEC 27001 sertifikāts – informācijas drošības pārvaldības sistēmas sertifikācija;
6.2. ISO/IEC 27017 sertifikāts – mākoņpakalpojumu drošības kontroles papildu vadlīnijas;
6.3. ISO/IEC 27018 sertifikāts – personu datu aizsardzības kontroles mākoņpakalpojumu vidē;
6.4. SOC 1, SOC 2 un SOC 3 audita atskaites – neatkarīgu auditoru ziņojumi par iekšējās kontroles atbilstību (finanšu pārskatu, drošības, pieejamības u.c. jomās);
6.6. citi līdzvērtīgi starptautiski atzīti sertifikāti, kas publicēti Nacionālā kiberdrošības centra oficiālajā tīmekļa vietnē kā derīgi drošu datu centru apliecinājumi.

Skaidrojums: minētie sertifikāti (6.1.–6.4.) apliecina augstu drošības pārvaldības līmeni mākoņpakalpojumu sniedzējiem. To iekļaušana 3. pielikumā oficiāli atzītu šos datu centrus par atbilstošiem drošības prasībām. Šādi sertifikāti nodrošina drošības kontroli, pieejamību un datu aizsardzību līdzvērtīgā līmenī prasībām.
 

-